Active Directory Us...
 
Bildirimler
Hepsini Temizle

Active Directory User Account Lockout  

  RSS
Safa Tamer Çevik
(@safatamercevik)
Üye

Herkese merhaba ;

Yaklaşık 3 haftadır beni uğraştıran bir problemim mevcut. Sorunun çözümü için 3 haftadır uğraşıyorum fakat başarabilmiş değilim. Sorunu size kısaca anlatayım :

Domain ortamındaki iki farklı sunucudan biri diğerine sürekli olarak session request gönderiyor ve bunu benim şahsıma ait Active Directory hesabını kullanarak yapıyor ve bu da hesabımın politikalar gereği her 15 dakikada bir kilitlenmesine neden oluyor.

İsteği yapan sunucudan (A sunucusu diyelim - Windows Server 2008 R2), isteğin yapıldığı sunucuya (B sunucusu olsun - Windows Server 2016 Datacenter) herhangi bir dosya veya yazıcı paylaşımı veya remote desktop gibi bir durum söz konusu değil. B sunucusu üzerinde default admin share lar hariç herhangi bir paylaşım yok.

B sunucusunun Event Log larına baktığımda her 5 dakikada bir Event ID 4625 (Logon) olayının düştüğünü ve detayında ise failure reason olarak unknown username or bad password olduğunu görüyorum. Network Information kısmında ise Workstation Name olarak A sunucusunu görmekteyim.

B sunucusu üzerinde Wireshark ile yaptığım incelemede netbios-ssn ve microsoft-ds portlarının yani 139 ve 445 numaralı portların kullanıldığını görüyorum. 139 nolu porta A sunucusunun farklı portlarından SMB2 protokolü ile bir session setup request var devamlı. Tabi devamında B sunucusu DC ye hesap bilgilerini soruyor ve aldığı parola hatalı cevabına istinaden hesabımı kilitleyip duruyor.

A sunucusu üzerinde kendi hesabıma ait hiçbir yerde bir credential saklanmıyor yani en azından yaptığım kontrollerde rastlamadım. İsteği yapan process i Process ID den anlayabildiğim kadarı ile lsass.exe olarak görüyorum. Ama bunu neden yapıyor ve neden benim hesap bilgilerimi kullanıyor çözemiyorum.

Çok acil yardımlarınıza ihtiyacım var. Teşekkür ederim.

Alıntı
Gönderildi : 30/10/2019 17:29
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Sisteminizde exploit olabilir. 

http://zma.es/Incident-Handler/johnny-metasploit-microsoft-lsass-ms04-011-overflow-attack/default.pdf
Bu tip analizleri inceleyin.
İkinci olarak cihazınızda Administrator hesabını kullanıyorsanız herhangi bir noktadan attack alıyorsanız hesap kilitleniyor olabilir yada kullandığınız hesap öğrenilmiş olabilir.
Bunlar dışında local de webserver içeren bir uygulama sorunu yol açıyor olabilir. Ve cihazınıza ethernet kartı takıp deneyin sorunlu ethernet portları saçma lockout sorunlarına yol açabiliyor nadiren.

CevapAlıntı
Gönderildi : 30/10/2019 18:01
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

İbrahim' e katılıyorum, bu normal bir durum değil, o yüzden ilk olarak ilgili makinede bir malware, virüs taraması yapın. Daha sonra servisleri kontrol edin, anormal bir servis var mı? Zamanlanmış görevler, servisler, control userpassword2 komutu ile kayıtlı şifreler, çalışan uygulamalar, IIS var ise App pool kimlik bilgisi gibi her yeri kontrol edin, bazen adminler ne yazık ki hesaplarını her yere giriyor sonra şifre değiştirince unutabiliyor, özetle belki de sizin girdiğiniz bir yer olabilir.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 03/11/2019 14:16
Paylaş: